Содержание:
1. Общие положения
2. Термины и определения
3. Принципы обработки персональных данных
4. Права и обязанности общества, как оператора ПДн
5. Права и обязанности субъекта ПДн
6. Категории субъектов персональных данных и обрабатываемых персональных данных
7. Цели обработки персональных данных
8. Порядок и условия обработки персональных данных
9. Обеспечение безопасности персональных данных
10. Трансграничная передача персональных данных
11. Заключительные положения
1.1. Настоящая политика обработки персональных данных (далее – Политика) является общедоступным документом, декларирующим основные подходы к обработке персональных данных и меры по обеспечению их безопасности, предпринимаемые следующими компаниями Группы ФБК (далее совместно и/или по отдельности – Компания, Общество, Оператор):
1.2. Политика является основой для разработки внутренних документов, регламентирующих процесс обработки персональных данных и детально описывающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере персональных данных и устранение последствий таких нарушений (Положение об обработке персональных данных).
1.3. Общество раскрывает в Политике основные категории персональных данных, обрабатываемых Обществом, цели, принципы, порядок и условия обработки персональных данных субъектов персональных данных, права и обязанности Общества и субъектов персональных данных, а также подходы Общества к обеспечению безопасности персональных данных.
1.4. Политика разработана в соответствии с нормами применимого международного права и требованиями законодательных и нормативных правовых актов Российской Федерации в области защиты персональных данных, в том числе:
1.5. В случае изменения применимого законодательства настоящая Политика до приведения ее в соответствие с новыми требованиями действует в части, не противоречащей действующим законодательным и иным нормативно-правовым актам, а также соответствующим внутренним документам.
1.6. Правовым основанием обработки персональных данных в Обществе являются следующие правовые акты, во исполнение которых и в соответствии с которыми Общество, как Оператор ПДн, осуществляет обработку персональных данных:
1.7. Настоящая Политика является общедоступным внутренним документом и размещена в свободном доступе в сети Интернет по адресу https://www.fbk.ru/subscribe/policy-of-personal-data.php
В целях настоящей Политики используются следующие основные понятия и сокращения:
2.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.3. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.4. Клиенты – юридические лица (резиденты и нерезиденты), индивидуальные предприниматели, физические лица, занимающиеся частной практикой, и (или) заключившие с Обществом договор на оказание какой-либо услуги или иной сделки;
2.5. Конфиденциальность персональных данных – обязательное для соблюдения Оператором или иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
2.6. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.7. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.8. Оператор – Общество, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.9. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.10. Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом 152-ФЗ;
2.11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.12. Представитель – лицо, действующее от имени представляемого лица (работника, клиента, корреспондента, контрагента, партнера) на основании закона, договора или доверенности;
2.13. Работник – лицо, с которым установлены трудовые отношения (принятое на штатную должность в Общество, заключившее с работодателем трудовой договор и работающее как по основному месту работы, так и по совместительству);
2.14. Подрядчик – лицо, с которым установлены отношения по договорам гражданско-правового характера;
2.15. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.16. Сайт – сайты Общества (совместно и/или по отдельности), расположенные на следующих доменных именах: http://www.fbk.ru, https://fbk-pravo.ru/, https://fbkcs.ru/, http://elsfbk.ru/;
2.17. Соискатель – кандидат на замещение вакантных должностей и/или включение в кадровый резерв;
2.18. Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
2.19. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.20. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных осуществляется Обществом на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Общество не допускает обработку персональных данных, несовместимую с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. При обработке персональных данных Общество обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
3.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА, КАК ОПЕРАТОРА ПДн
4.1. Общество, как Оператор ПДн, имеет право:
4.1.1. собирать, записывать, систематизировать, накапливать, хранить, уточнять, извлекать, использовать, передавать и обезличивать ПДн на основе согласия субъектов ПДн,
4.1.2. блокировать и удалять ПДн в соответствии с требованиями применимого законодательства и внутренних документов Общества;
4.1.3. осуществлять проверку точности, достоверности и актуальности, предоставляемых ПДн в случаях, объеме и порядке, предусмотренных и установленных законодательством;
4.1.4. отказывать в предоставлении ПДн третьим лицам в случаях, предусмотренных законодательством;
4.1.5. предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством;
4.1.6. использовать ПДн субъекта без его согласия в случаях, предусмотренных законодательством;
4.1.7. отказать субъекту ПДн в оказании услуг, в случае его отказа от предоставления (непредоставления) своих ПДн, обработка которых необходима для предоставления услуг, за исключением случаев, предусмотренных законодательством;
4.1.8. отстаивать свои интересы в суде;
4.1.9. реализовывать иные права, предусмотренные законом или договором.
4.2. Общество, как Оператор ПДн, обязано:
4.2.1. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено законодательством;
4.2.2. предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговым, правоохранительным органам и др.);
4.2.3. по требованию субъекта ПДн прекратить обработку его персональных данных в срок не превышающий 10 рабочих дней, за исключением случаев, предусмотренных законодательством. Срок может быть продлен, но не более чем на 5 рабочих дней, а также с предоставлением Оператором мотивированного уведомления субъекту ПДн;
4.2.4. принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и иными законодательными актами РФ;
4.2.5. до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством;
4.2.6. своевременно уведомлять уполномоченный орган по защите прав субъектов ПДн об изменения сведений, указанных в уведомлении об обработке ПДн не позднее 15-ого числа месяца, в котором возникли такие изменения или о прекращении обработки ПДн в течение десяти рабочих дней с даты прекращения обработки ПДн;
4.2.7. своевременно представлять уполномоченному органу по защите прав субъектов ПДн запрошенные им документы и локальные акты и (или) иным образом подтверждать принятие мер, направленных на обеспечение выполнения Обществом обязанностей, в том числе подтверждать уничтожение ПДн, в случаях, предусмотренных законодательством в области защиты персональных данных;
4.2.8. в течение десяти рабочих дней с момента обращения либо получения запроса субъекта персональных данных или уполномоченного органа предоставить ему сведения о ПДн, предусмотренные ч.7 ст. 14 Закона № 152-ФЗ. Срок может быть продлен не более чем на 5 рабочих дней в случае направления Оператором субъекту ПДн мотивированного уведомления. Сведения о ПДн передаются в той форме, в которой направлены соответствующие обращения или запрос. Отказ от предоставления сведений о ПДн должен быть мотивирован и направлен в сроки, предусмотренные настоящим пунктом;
4.2.9. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными;
4.2.10. указывать категории ПДн, категории субъектов, ПДн которых обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн при предоставлении сведений, предусмотренных частью 3.1 ст. 22 Закона № 152-ФЗ, для каждой цели обработки ПДн;
4.2.11. в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
4.2.11.1. в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
4.2.11.2. в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии);
4.2.12. выполнять иные обязанности, предусмотренные законодательством или заключенными договорами.
5. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПДн
5.1. При обработке персональных данных Общество обеспечивает субъекту ПДн (его представителю) реализацию его прав:
5.1.1. свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;
5.1.2. требовать уточнения (изменения) своих персональных данных (ПДн субъекта), их блокирования или уничтожения, в случае если персональные данные являются неполными, неточными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (прав субъекта ПДн);
5.1.3. требовать предоставления перечня своих персональных данных (ПДн субъекта), обрабатываемых Обществом, и информации об источнике их получения, если иное не предусмотрено законодательством;
5.1.4. получать информацию о сроках обработки своих персональных данных (ПДн субъекта), в том числе о сроках их хранения;
5.1.5. получать иную информацию, касающуюся обработки персональных данных субъекта ПДн;
5.1.6. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные (неточные, неактуальные) персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
5.1.7. обжаловать в уполномоченном органе по защите прав субъектов ПДн неправомерные действия или бездействие Оператора при обработке его ПДн (субъекта ПДн);
5.1.8. защищать свои права (права субъекта ПДн) и законные интересы в судебном порядке, в том числе возместить убытки и (или) компенсировать моральный вред;
5.1.9. определять представителей для защиты своих ПДн;
5.1.10. отозвать согласие на обработку своих ПДн (ПДн субъекта), за исключением случаев, предусмотренных законодательством;
5.1.11. реализовывать иные права, предусмотренные законом или договором.
5.2. При обработке персональных данных Общество рассчитывает на то, что субъект ПДн (его представитель) будет:
5.2.1. обеспечивать их точность, достоверность и актуальность при предоставлении Оператору своих ПДн (ПДн субъекта);
5.2.2. своевременно предоставлять Оператору сведения об изменении своих ПДн (ПДн субъекта), если такая обязанность предусмотрена законодательством и/или договором между субъектом ПДн и Обществом;
5.2.3. выполнять иные обязанности, предусмотренные законом или договором с субъектом ПДн (его представителем).
6. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общество обрабатывает персональные данные следующих категорий субъектов ПДн, полученные от соответствующих источников:
6.1.1. работники Общества, бывшие работники, стажеры, а также родственники работников – источником получения персональных данных являются непосредственно субъекты ПДн;
6.1.2. соискатели при прохождении собеседований в Обществе – источником получения персональных данных являются субъекты персональных данных и общедоступные источники;
6.1.3. физические лица – поставщики/подрядчики (в т.ч. потенциальные) и их представители – источником получения персональных данных являются субъекты персональных данных, представители поставщиков/подрядчиков, общедоступные источники, в т.ч. информация в СМИ и на сайте поставщика/подрядчика;
6.1.4. физические лица – клиенты (в т.ч. потенциальные) и их представители/контрагенты – источником получения персональных данных являются субъекты персональных данных, клиенты Общества, общедоступные источники, в т.ч. информация в СМИ и на сайте клиента/его представителя/контрагента;
6.1.5. посетители сайта и/или пользователи социальных сетей и/или мобильных приложений Общества – источником получения персональных данных являются субъекты персональных данных;
6.1.6. посетители офисов Общества – источником получения персональных данных являются субъекты персональных данных, а также их представители;
6.1.7. участники мероприятий, организованных полностью или частично Обществом – источником получения персональных данных являются субъекты персональных данных, а также их представители.
6.2. В рамках каждой из категорий субъектов и применительно к конкретным целям Общество может обрабатывать следующие категории персональных данных:
6.2.1. ПДн первой (специальной) категории – к данной категории относятся ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта ПДн, а также иные персональные данные, относимые действующим законодательством к специальным категориям ПДн. Обработка специальных категорий ПДн в Обществе не осуществляется, за исключением случаев, предусмотренных законодательством;
6.2.2. ПДн второй категории – к данной категории относятся биометрические персональные данные, т.е. сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка биометрических персональных данных в Обществе может осуществляться при наличии соответствующего согласия в письменной форме субъекта ПДн, либо без такового в случаях, предусмотренных ст. 11 Закона 152-ФЗ. Предоставление биометрических данных не может быть обязательным, за исключением случаев, предусмотренных законодательством РФ;
6.2.3. ПДн третьей (общей) категории – к данной категории относятся общедоступные персональные данные, полученные только из общедоступных источников, созданных в соответствии со статьей 8 Закона 152-ФЗ. В Обществе осуществляется обработка указанных данных в отношении всех категорий субъектов ПДн;
6.2.4. ПДн четвертой категории – к данной категории относятся иные категории персональных данных, не указанные в п. 6.2.1, 6.3.2 и 6.3.3.
6.3. Полный перечень обрабатываемых Обществом персональных данных, определенный для каждой из категорий субъектов и применительно к конкретным целям, определен в Положении об обработке персональных данных.
7. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Общество, как Оператор ПДн, осуществляет обработку персональных в следующих целях:
8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных осуществляется с согласия субъекта ПДн на обработку его персональных данных.
8.2. Субъект ПДн принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
8.3. Согласие на обработку персональных данных может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
8.4. Персональные данные субъекта могут быть получены от лица, не являющегося субъектом ПДн при условии предоставления Обществу подтверждения наличия оснований, предусмотренных законодательством. В случае получения согласия на обработку персональных данных от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.
8.5. Согласие на обработку персональных данных может быть отозвано субъектом ПДн в установленном законодательством порядке. В случае отзыва субъектом ПДн согласия на обработку персональных данных Общество прекращает обработку указанных данных в установленном порядке.
8.6. Согласие субъекта на обработку персональных данных не требуется, если обработка персональных данных:
8.6.1. необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных на Общество функций, полномочий и обязанностей;
8.6.2. осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
8.6.3. необходима для исполнения судебного акта;
8.6.4. необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;
8.6.5. необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
8.6.6. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
8.6.7. необходима для осуществления прав и законных интересов Общества или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
8.6.8. необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
8.6.9. осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, а также целей политической агитации, при условии обязательного обезличивания персональных данных;
8.6.10. осуществляется в отношении персональных данных, полученных в результате их обезличивания или подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
8.7. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта.
8.8. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПДн:
8.8.1. включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8.8.2. в случае, если Общество осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
8.8.3. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8.9. В Обществе могут создаваться общедоступные источники ПДн, в которые с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн. Общество не размещает персональные данные субъекта ПДн в общедоступных источниках без его предварительного согласия.
8.10. Общество может предоставить доступ к персональным данным неограниченному кругу лиц только при наличии согласия на обработку персональных данных, разрешенных субъектом ПДн для распространения в установленном порядке, оформленного отдельно от иных согласий на обработку ПДн.
8.11. В случае, если из предоставленного субъектом ПДн согласия на обработку персональных данных, разрешенных для распространения, не следует, что субъект ПДн согласился с их распространением, Общество обрабатывает такие данные без права распространения.
8.12. Общество обеспечивает субъекту ПДн возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом для распространения.
8.13. Согласие на обработку персональных данных, разрешенных для распространения, может быть предоставлено непосредственно Обществу либо с использованием информационной системы Роскомнадзора.
8.14. Общество обеспечивает прекращение передачи (распространения, предоставления доступа) персональных данных, разрешенных для распространения, по требованию субъекта персональных данных.
8.15. Порядок доступа субъекта ПДн к его персональным данным, обрабатываемым Обществом, осуществляется в соответствии с Законом № 152-ФЗ и определяется внутренними документами Общества (Положением об обработке персональных данных).
8.16. Хранение полученных ПДн осуществляется на материальных (бумажных и электронных) носителях (в том числе в ИСПДн). Право доступа к ПДн имеют (получают) только те работники Общества, которым это необходимо для выполнения их должностных обязанностей и которые в установленном порядке наделены соответствующими полномочиями и правами доступа к средствам обработки персональных данных. Доступ иных лиц к персональным данным, обрабатываемым Обществом, может быть предоставлен исключительно в предусмотренных законодательством случаях и в порядке, установленном соответствующими нормативными актами или внутренними документами Общества.
8.17. Для обеспечения и контроля доступа работников Общества к персональным данным, необходимым им для выполнения служебных обязанностей, руководством Общества формируются и закрепляются приказом Общества соответствующие списки работников. При уходе в отпуск, направлении в служебную командировку и в иных случаях длительного отсутствия работника на своем рабочем месте он обязан передать документы и иные материальные носители, содержащие ПДн клиентов и (или) работников Общества, лицу, временно его замещающему и выполняющему указанные функции на основании приказа. В случае если такое лицо не назначено, документы и иные носители, содержащие указанные ПДн, передаются другому работнику, имеющему доступ к таким ПДн, по указанию руководителя подразделения.
8.18. Обработка ПДн осуществляется как с использованием, так и без использования средств автоматизации. Автоматизированная обработка ПДн осуществляется в ИСПДн. Перечень ИСПДн утверждается приказом руководителя Общества. ИСПДн классифицируются в зависимости от категорий, обрабатываемых в них ПДн. Защита ПДн в ИСПДн производится согласно действующему законодательству в соответствии с классификацией ИСПДн.
8.19. Для обработки ПДн в Обществе применяются типовые формы документов для осуществления обработки ПДн (стандартные (типовые) формы и (или) шаблоны заявлений, анкет, согласий и другие унифицированные формы документов, используемых Обществом в целях сбора ПДн). Процедуры работы с указанными типовыми формами документов определяются соответствующими нормативными актами или внутренними документами Общества (Положением об обработке персональных данных).
8.20. Сроки обработки и хранения персональных данных определяются:
8.21. Сроки хранения документов, содержащих персональные данные, определены в Положении об обработке персональных данных.
8.22. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие.
8.23. Условиями для прекращения обработки ПДн могут быть:
8.24. Уничтожение персональных данных осуществляется комиссией, созданной в подразделении на основании приказа Общества.
8.25. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в законодательстве, Общество осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Общество при обработке персональных данных принимает (или обеспечивает их принятие) все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
9.2. Организация и проведение мероприятий по обеспечению безопасности и защиты персональных данных осуществляются в соответствии с настоящей Политикой и иными внутренними документами Общества.
9.3. Обеспечение безопасности персональных данных достигается в том числе путем:
9.4. Общество обеспечивает защиту информации с применением средств криптографической защиты информации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, разработанных и эксплуатируемых в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным Приказом ФСБ РФ от 09.02.2005 №66, зарегистрированным Минюстом России 3 марта 2005 года, регистрационный № 6382, 25 мая 2010 года, регистрационный № 17350, и технической документацией на средства криптографической защиты информации.
9.5. С учетом важности и необходимости обеспечения безопасности ПДн Общество постоянно совершенствует системы защиты ПДн, обрабатываемых в рамках выполнения основной деятельности, принимает дополнительные меры, направленные на защиту информации о клиентах, работниках, партнерах, контрагентах и других субъектах ПДн. В целях повышения эффективности указанных систем и мер Общество руководствуется рекомендациями надзорных и контрольных органов, а также лучшими российскими и международными практиками.
10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Общество не осуществляет трансграничную передачу ПДн.
11.1. Настоящая Политика вступает в силу с момента ее утверждения руководителем Общества и действует до ее замены в новой редакции.
11.2. Руководитель Общества несет ответственность за общую организацию обработки персональных данных в Обществе.